II- SECURITE DES COMMUNICATIONS
Les serveurs WSUS sont exposés sur le réseau et
doivent pouvoir communiquer avec les ordinateurs connectés pour le
déploiement des mises à jour ainsi qu'avec leurs serveurs source,
dont Windows Update sur l'Internet.
La sécurité des communications est un
élément important de la sécurisation du serveur.
1- AJOUT D'UNE AUTHENTIFICATION AD POUR
LES
CONNEXIONS ENTRE SERVEURS
WSUS
Une première solution pour limiter le risque lors de la
synchronisation de deux (2) serveurs WSUS est d'ajouter une authentification
obligatoire.
L'authentification nécessite les deux (2)
opérations successives décrites ci-après >
Configuration d'IIS
L'opération suivante est de désactiver
l'accès anonyme au service Web SeverSyncWebService dans IIS, puis
d'activer l'authentification Windows intégrée.
Figure 25 : configuration
d'IIS
Attention, cette configuration ne doit s'appliquer qu'au
répertoire Web SeverSyncWebService.
III- COMMUNICATIONS SECURISEES PAR SSL
Le protocole SSL (Secure Sockets Layer) permet de
sécuriser le déploiement des mises à jour. WSUS utilise
SSL lors des communications avec les clients et avec les serveurs WSUS «
fils ». Les mises à jour sont composées de 2 parties qui
sont transférées selon des principes différents :
· Les « Métadonnées »,
c'est-à-dire des données décrivant le contenu et la cible
des fichiers de mise à jour, sont transférés en SSL. C'est
le mode de communication utilisé obligatoirement lors d'une connexion
sur le site Microsoft Update.
· Les fichiers de mise à jour sont transmis avec le
protocole HTTP. Pour limiter le risqué sur un canal non
sécurisé :
o Chaque fichier est signé
o Un hash est calculé et envoyé avec les
Métadonnées pour chaque mise à jour
WSUS vérifie la signature digitale et le hash à
chaque téléchargement Si la mise à jour a
été modifiée, elle n'est pas installée.
1- LIMITATION DE LA SOLUTION SSL
Il existe deux limitations à l'usage de la solution SSL
:
· Le mécanisme de calcul pour le chiffrement /
déchiffrement augmente la charge du serveur. Il est conseillé de
prévoir environ 10% de ressources supplémentaires lorsque le SSL
est activé.
· Si le serveur WSUS utilise une base de données SQL
Server hébergée sur un autre serveur, la communication entre WSUS
et la base de données distante est non sécurisée. Il est
possible de sécuriser cette communication en utilisant une
stratégie IPSec.
Cette limitation ne s'applique pas si la base de données
est située sur le serveur WSUS lui-même.
2- INSTALLATION DES CERTIFICATS SSL
SSL utilise pour le chiffrement des données des
certificats de type « Web Server ». Ce type de certificat peut
être délivré par l'autorité de certification
disponible avec les systèmes Windows Server.
La procédure présentée dans cette section
utilise la PKI (Public Key Infrastructure) Windows 2003 Server.
3- CERTIFICATS SSL ET
POSITIONNEMENT
L'usage d'une autorité de certification privée est
recommandé dans le cas de WSUS puisqu'il s'agit d'une architecture de
serveurs interne à l'entreprise.
La principale contrainte d'une autorité privée,
hormis son administration et les règles de sécurité
afférant, est qu'elle doit elle-même être approuvée
par les ordinateurs qui l'utilisent pour rendre valide le certificat du site
Web.
Il existe donc 2 certificats à mettre en oeuvre pour une
communication en HTTPS :
· Le certificat de l'autorité, à installer
sur tous les ordinateurs utilisant SSL (Serveurs et postes).
· Le certificat du site Web à installer uniquement
sur le serveur IIS du site.
| 
